● 50 entries

Forense e resposta

$UsnJrnl ($J)Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes.
Amcache.hveColmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno.
Análise de artefactosExame dos vestígios digitais deixados por sistemas operativos e aplicações para reconstruir ações do utilizador, execução de programas e comportamento do atacante.
Análise de linha do tempoTécnica forense que reconstrói a sequência cronológica de eventos num sistema, correlacionando carimbos temporais de ficheiros, registos e outros artefactos.
Análise de malwareEstudo estruturado de uma amostra maliciosa para compreender o seu funcionamento, origem, indicadores de comprometimento e impacto nos sistemas afetados.
Análise de registosRevisão sistemática de registos de sistema, aplicações e segurança para detetar, investigar e reconstruir eventos relevantes para a segurança.
Análise do Registry do WindowsExame forense das hives do Registry do Windows para recuperar configuração, atividade do utilizador e evidências de execução ou persistência.
AntiforenseTécnicas utilizadas por atacantes ou atores preocupados com privacidade para dificultar, atrasar ou frustrar investigações forenses digitais.
Aquisição de provasRecolha defensável de provas digitais a partir de sistemas, redes e serviços na nuvem, com ferramentas e procedimentos forensicamente sólidos.
Arquivos PrefetchArquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema.
AutopsyPlataforma open source de forense digital desenvolvida por Brian Carrier e pela Basis Technology, que fornece uma interface grafica para o The Sleuth Kit e um vasto conjunto de modulos de analise.
Bloqueador de escritaFerramenta de hardware ou software que permite leitura de um dispositivo de armazenamento mas impede operações de escrita que possam alterar a evidência.
Cadeia de custódiaRegisto cronológico e documentado de cada pessoa, local e ação que afetam uma evidência desde a apreensão até à sua disposição final.
Cellebrite UFEDFamilia de produtos de forense movel da israelense Cellebrite que extrai, decodifica e analisa dados de smartphones, drones, SIMs e outros dispositivos.
dd (imagem de disco bruta)Copia plana, bit a bit, de um dispositivo de armazenamento gerada pelo utilitario Unix dd (ou ferramentas compativeis), sem compressao, metadados ou hash por bloco.
DFIR (Forense digital e resposta a incidentes)Disciplina combinada que une investigação forense digital e resposta a incidentes para detetar, conter, erradicar e aprender com incidentes cibernéticos.
EnCaseEnCase e uma familia de produtos comerciais de forense digital da OpenText (originalmente Guidance Software), amplamente usada por forcas de seguranca e investigadores corporativos desde o final dos anos 90.
Engenharia inversaProcesso de desmontar e analisar software compilado, firmware ou hardware para reconstruir o seu desenho, comportamento e funcionamento interno.
EsteganáliseDisciplina forense que deteta e, quando possível, extrai informação oculta em ficheiros aparentemente inofensivos por esteganografia.
Exercício de mesaSimulação baseada em discussão em que os intervenientes percorrem um incidente cibernético hipotético para testar planos, papéis, decisões e comunicações.
EZ Tools de Eric ZimmermanConjunto gratuito de ferramentas DFIR para Windows, em linha de comando e GUI, criado por Eric Zimmerman para parsear artefatos forenses e construir linhas do tempo.
Forense de discoAnálise de suportes de armazenamento não voláteis (HDD, SSD, USB) para recuperar e interpretar artefactos do sistema de ficheiros, aplicações e sistema operativo.
Forense de memóriaDisciplina de aquisição e análise da RAM volátil do sistema para revelar processos em execução, ligações de rede, código injetado e artefactos em memória.
Forense de redeCaptura, registo e análise de tráfego e metadados de rede para investigar eventos de segurança e reconstruir a atividade do atacante.
Forense digitalDisciplina científica que identifica, preserva, analisa e relata evidências digitais de computadores, redes e dispositivos de forma juridicamente defensável.
Forense em cloudInvestigação forense de infraestrutura, aplicações e serviços SaaS na nuvem, apoiando-se em APIs do fornecedor, logs de auditoria e recursos efémeros.
Forense móvelAquisição e análise forense de smartphones, tablets e wearables para extrair comunicações, dados de aplicações, localização e outros artefactos.
Formato de imagem E01 (EnCase)Formato de imagem forense introduzido pela Guidance Software para o EnCase que armazena a aquisicao em arquivos segmentados e comprimidos com metadados e somas de verificacao.
FTKForensic Toolkit (FTK) e uma suite comercial de forense digital desenvolvida pela AccessData e atualmente propriedade da Exterro, usada para adquirir, indexar e analisar evidencia computacional.
GrayKeyAppliance dedicada de hardware e software da Grayshift (atualmente Magnet Forensics) usada por orgaos de seguranca para desbloquear e extrair dados de dispositivos iOS e Android bloqueados.
hiberfil.sysArquivo de hibernacao comprimido do Windows que armazena um snapshot quase completo da memoria fisica no momento da hibernacao, permitindo acesso forense a RAM mesmo com a maquina desligada.
Imagem forenseCópia bit a bit de um suporte de armazenamento, verificada por hashes criptográficos, usada para análise forense e como evidência admissível.
Jump ListsArquivos de historico por aplicativo indexados pelo AppID do Windows que registram os arquivos e tarefas recentes de um usuario, fornecendo prova solida de acesso a arquivo associado a um programa especifico.
KAPE (Kroll Artifact Parser and Extractor)Ferramenta de triagem para Windows da Kroll que coleta artefatos forenses de sistemas em execucao ou de imagens e executa modulos parseadores para gerar saida pronta para analise.
Kit forenseTermo generico para o conjunto validado de hardware, software e procedimentos que um perito forense digital usa para adquirir, preservar e analisar evidencia.
Magnet AXIOMPlataforma DFIR comercial da Magnet Forensics que ingere discos, fontes moveis e em nuvem, parseia artefatos e os apresenta em uma interface unica de revisao.
MFT (Master File Table)Estrutura central de metadados do NTFS que armazena um registro de 1024 bytes por arquivo ou diretorio do volume e sustenta praticamente toda a forense do sistema de arquivos do Windows.
Ordem de volatilidadePrioridade de aquisicao definida pela RFC 3227 que obriga os responders forenses a coletar primeiro a evidencia mais efemera, antes que seja sobrescrita ou perdida.
pagefile.sysArquivo de swap de memoria virtual do Windows no volume do sistema; pode conter fragmentos de memoria de processos, credenciais, chaves, linhas de comando e payloads decifrados.
Plano de resposta a incidentesDocumento aprovado que descreve como a organização se prepara, deteta, contém, erradica e recupera de incidentes cibernéticos e captura lições.
PlasoFerramenta Python open source criada por Kristinn Gudjonsson que extrai automaticamente carimbos temporais de varias fontes para construir uma 'super timeline' forense.
Preservação de provasDisciplina forense que protege as provas digitais contra alteração, perda ou contaminação para que continuem admissíveis e fiáveis durante a investigação.
Prontidão forenseCapacidade preparada da organização para recolher, preservar e analisar provas digitais com impacto mínimo quando surge um incidente ou questão jurídica.
Recuperação por assinatura (file carving)Técnica forense que recupera ficheiros de espaço não alocado ou dados brutos reconhecendo assinaturas, cabeçalhos e rodapés, sem depender dos metadados do sistema de ficheiros.
Resposta a incidentesProcesso organizado para preparar, detetar, analisar, conter, erradicar e recuperar de incidentes de cibersegurança, capturando lições aprendidas.
ShellbagsChaves de registro que armazenam as preferencias de visualizacao de pastas do Explorer por usuario e servem como prova forense de que um usuario abriu uma pasta especifica, inclusive em midias removiveis ou caminhos de rede.
Shimcache (AppCompatCache)Valor do registro do Windows que armazena metadados de executaveis para verificacoes de compatibilidade; historicamente usado como prova de execucao, com ressalvas importantes de interpretacao.
The Sleuth KitBiblioteca e conjunto de ferramentas de linha de comando open source para analise de baixo nivel de imagens de disco e sistemas de ficheiros, mantida por Brian Carrier.
Verificacao forense de hashPratica de calcular e comparar hashes criptograficos (geralmente MD5 e SHA-256) das imagens forenses e dos suportes originais para provar a integridade da evidencia.
Volatility FrameworkFramework open source de forense de memoria, criado originalmente por Aaron Walters e a Volatility Foundation, para extrair artefactos digitais de imagens de memoria volatil (RAM).